恶意流量练习题之2014-11-16-traffic-analysis-exercise

其他 2020-11-14 10:59:46 阅读次数: 0

文章目录

简要说明

在工作中也会陆陆续续的分析一些流量数据包,但总感觉学的东西还是不到位,便想系统的学一学,正好这个网站(www.malware-traffic-analysis.net)有练手的习题可以拿来分析学习,也算是记录我的学习过程

pacp包地址

http://malware-traffic-analysis.net/2014/11/16/2014-11-16-traffic-analysis-exercise.pcap

问题与回答

LEVEL 1 ANSWERS

  1. What is the IP address of the Windows VM that gets infected?

等级1的第一个问题是问被感染的虚拟机ip是什么,打开pacp包,使用dhcp过滤,可以得到如下信息

在这里插入图片描述

根据info中的request可以判断出本机ip是172.16.165.165

  1. What is the host name of the Windows VM that gets infected?

  2. What is the MAC address of the infected VM?

在这里插入图片描述

根据问题1的答案,可得到问题2和问题3的答案分别为K34EN6W3N-PC和f0:19:af:02:9b:f1

  1. What is the IP address of the compromised web site?

  2. What is the domain name of the compromised web site?

这两个问题是问被攻陷的web站点的ip和域名是什么,可以使用http.request过滤,如下图

在这里插入图片描述

根据info可知被被攻陷的web站点的ip和域名分别是82.150.140.30和www.ciniholland.nl

  1. What is the IP address and domain name that delivered the exploit kit and malware?

  2. What is the domain name that delivered the exploit kit and malware?

这两个问题是提供漏洞工具包和恶意软件的ip和域名是什么,点击File->Export Objects->HTTP

在这里插入图片描述

查找类型列表,可知application/x-msdownload为dll文件,application/x-shockwave-flash为swf文件,application/java-archive为jar文件

在这里插入图片描述

可知,提供漏洞工具包和恶意软件的ip和域名分别是37.200.69.143和stand.trustandprobaterealty.com

LEVEL 2 ANSWERS

  1. What is the redirect URL that points to the exploit kit (EK) landing page?

这个问题是问哪个url定向到漏洞工具包登录页的,可以追踪流查看,得到答案为24corp-shop.com

在这里插入图片描述

  1. Besided the landing page (which contains the CVE-2013-2551 IE exploit), what other exploit(s)

sent by the EK?

这个问题是问除了 CVE-2013-2551 IE exploit,还利用了哪些漏洞,已知CVE-2013-2551产生于VGX.DLL模块,剩下的就是application/x-shockwave-flash和application/java-archive,也就是flash漏洞和java漏洞

  1. How many times was the payload delivered?

点击File->Export Objects->HTTP,可以看到被发送了三次

在这里插入图片描述

  1. Submit the pcap to VirusTotal and find out what snort alerts triggered. What are the EK names are shown in the Suricata alerts?

这个上传vt看就行了,我这就不做了

LEVEL 3 ANSWERS

  1. Checking my website, what have I (and others) been calling this exploit kit?

Rig EK

  1. What file or page from the compromised website has the malicious script with the URL for the redirect?

这道问题的意思就是www.ciniholland.nl这个网站哪个页面包含了24corp-shop.com

首先使用http.host == www.ciniholland.nl过滤,然后一个个追踪流去查找,最后发现第一个页面中就含有24corp-shop.com

在这里插入图片描述

在这里插入图片描述

  1. Extract the exploit file(s). What is(are) the md5 file hash(es)?

首先过滤是提供漏洞工具包和恶意软件的域名stand.trustandprobaterealty.com

在这里插入图片描述

追踪流,以Hex Dump形式显示和保存

在这里插入图片描述

flash的响应头显示的长度及flash头

在这里插入图片描述

java的响应头显示的长度及java头

在这里插入图片描述

根据文件头和对应大小分别保存文件,算取Hash即可

猜你喜欢

转载自blog.csdn.net/weixin_44001905/article/details/107713576
今日推荐
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
报告:Django 仍然是 74% 开发者的首选
《2024 年一季度互联网投融资运行情况》研究报告
15 年前上了“FFmpeg 耻辱柱”,今天他还得谢谢咱——腾讯QQPlayer一雪前耻?
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
周排行
BPM为企业带来的实际利益
好程序员web前端分享css常用属性缩写
Java文件下载(excel)
css样式的动态添加及显示和隐藏等零碎用法
axios全局配置以及拦截器
使用Logstash来实时同步MySQL和log日志数据到ES
C++获取当前时间(年月日、时分秒、毫秒)
Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)
Java环境配置正确,但是java、javac、java -version均返回“不是内部或外部命令,也不是可运行的程序或批处理文件”?
01 官网下载各种CentOS教程(超详细版)
每日归档
更多
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022